Microsoft 365 nicht datenschutzrechtskonform?

28. November 2022

Viele Verantwortliche möchten in ihrem Unternehmen oder ihrer Behörde gerne Office 365 (jetzt: Microsoft 365) nutzen. Seit Jahren sehen sich diese wegen der Bewertung der datenschutzrechtlichen Zulässigkeit erheblichen rechtlichen Unsicherheiten ausgesetzt. Die neueste Pressemitteilung der Datenschutzkonferenz ist für die Bewertung nun richtungsweisend. 

 

Bericht der Datenschutzkonferenz 

In der Mitteilung vom 28. November 2022 weist der Thüringer Landesbeauftrage für den Datenschutz und die Informationsfreiheit (TLfDI) Dr. Lutz Hasse auf die richtungsweisende Bewertung der Datenschutzkonferenz (DSK) zu Microsoft 365 hin: „Die DSK stellt (…) fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann. Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.“ 

Außerdem betonte er, dass sich die Bewertung der Datenschutzkonferenz nicht direkt an Microsoft wende, sondern an die Verantwortlichen, sodass diese Microsoft 365 nicht datenschutzrechtskonform verwenden könnten. Neben Fragen bezüglich der Datenübermittlung in die USA komme sowohl der Verstoß gegen Art. 28 DS-GVO als auch gegen die Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO in Betracht. 

 

Microsoft widerspricht der DSK 

Als „Antwort“ auf diesen Bericht stellte Microsoft die Vereinbarkeit mit dem Datenschutzrecht fest und betonte ihre Position von August 2022. „Wir stellen sicher, dass unsere MS 365-Produkte die strengen EU-Datenschutzgesetze nicht nur erfüllen, sondern oft sogar übertreffen. Unsere Kunden in Deutschland und in der gesamten EU können MS 365-Produkte weiterhin bedenkenlos und rechtssicher nutzen.“ 

 

Fazit 

Verantwortlichen, die mit der MS 365-Software arbeiten, ist aufgrund der widerstreitenden Aussagen jedenfalls nicht geholfen, wodurch kein zufriedenstellender Zustand herrscht. Es bleibt demnach abzuwarten, ob es in dieser Meinungsverschiedenheit doch noch zu einer Einigung kommen wird. Bis dahin bleibt die Verwendung von MS 365 aus datenschutzrechtlicher Sicht noch unsicher. Wir werden schnellstmöglich über weitere Entwicklungen berichten.